Digitale kwetsbaarheid melden

(Coordinated vulnarability disclosure)

Wij vinden de veiligheid van onze systemen en processen belangrijk. Toch kan het zijn dat u een kwetsbaarheid (zwakke plek) in een van onze systemen ontdekt. Deze ontvangen wij dan graag van u. Wij nemen dan zo snel mogelijk maatregelen om deze kwetsbaarheid weg te nemen. Wij willen graag met u samenwerken om onze systemen en de gegevens van onze inwoners beter te beschermen. Door het maken van een melding gaat u akkoord met de onderstaande voorwaarden en regels.

Wat doet u als u een kwetsbaarheid ontdekt?

  • Mail dit naar cvd@buha.nl. Versleutel uw bericht met onze PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt. U vindt de PGP-sleutel onderaan deze pagina.
  • Geef voldoende informatie, zodat wij het probleem kunnen vinden, namaken en zo snel mogelijk kunnen oplossen. Uw melding bestaat uit:
    • een IP-adres of de URL van het systeem waar u de kwetsbaarheid heeft ontdekt;
    • een Proof of Concept (PoC), laten zien hoe u bent gekomen tot de kwetsbaarheid;
    • een CVE (als deze beschikbaar is), een lijst waarop bekende kwetsbaarheden uit software staan;
    • een duidelijke omschrijving van de kwetsbaarheid.
  • Doe uw melding zo snel mogelijk nadat u de kwetsbaarheid heeft ontdekt.
  • Deel tips die ons helpen het probleem op te lossen. Geef met feiten uitleg over uw tips en vermijd reclame voor bepaalde (beveiligings)producten.
  • Laat uw contactgegevens achter zodat we met u kunnen samenwerken aan een veilig resultaat. We hebben minimaal één e-mailadres of telefoonnummer nodig.

Wat mag u in ieder geval niet doen?

  • De kwetsbaarheid misbruiken op wat voor wijze dan ook. Bijvoorbeeld door meer data te downloaden dan nodig is om het lek aan te tonen. Of om gegevens van derden in te kijken, te verwijderen of aan te passen.
  • De kwetsbaarheid delen met anderen of openbaar maken voordat wij de kwetsbaarheid hebben opgelost.
  • Meer handelingen doen dan nodig is om de zwakke plek te laten zien en te melden.
  • Gebruik maken van aanvallen op:
    • fysieke beveiliging,
    • social engineering; het misbruiken van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid.
    • (distributed) denial of service; ervoor zorgen dat de gebruiker geen toegang meer heeft tot een computersysteem.
    • phishing; het oplichten van mensen door middel van internetfraude of spam.
    • malware plaatsen op onze systemen of die van derden.

Wat kunt u van ons verwachten?

  • Wij behandelen uw melding vertrouwelijk. En delen uw persoonlijke gegevens niet met derden zonder uw toestemming. Behalve als de wet ons dat verplicht. Of als wij een rechterlijke uitspraak moeten volgen.
  • Binnen 1 werkdag ontvangt u een automatische ontvangstbevestiging.
  • Binnen 7 werkdagen ontvangt u een (eerste) beoordeling van de melding. En eventueel een verwachte datum voor een oplossing.
  • Wij proberen het probleem binnen 90 dagen op te lossen. We werken als het kan hiermee met u samen. In elk geval laten we u weten wat wij doen. 
  • Als het kan delen wij de melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat wij onze ervaringen op dit vlak met andere gemeenten of aan gemeenten verbonden organisaties.
  • Helpt uw melding echt mee aan het verhogen van de veiligheid van onze systemen? Dan ontvangt u als dank een passende beloning voor uw hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de beloning verschillen. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.

U mag ervan uitgaan dat uw melding geen juridische gevolgen voor u heeft als u bovenstaande spelregels volgt. Blijkt toch dat u zich niet aan de spelregels heeft gehouden? Dan kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen. Hierbij beoordelen wij of u gehandeld heeft in oog van maatschappelijk belang, de proportionaliteit en het subsidiariteitsvereiste.

PGP sleutel

-----BEGIN PGP PUBLIC KEY BLOCK-----

mDMEZtgD8BYJKwYBBAHaRw8BAQdAHV/p9DF0WJG2n/4P7bOAABAEG4B5hgWXRzcK 

6Juxs0K0FkNWRCBCdWhhIDxjdmRAYnVoYS5ubD6ImQQTFgoAQQIbAwULCQgHAgIi

AgYVCgkICwIEFgIDAQIeBwIXgBYhBLLnQ67LEEtlcfjThvzjaO6D4bQdBQJm2AQg

BQkBhb7uAAoJEPzjaO6D4bQdJ0sA/2nc9uHBlmVRYJZBM5BEG5LdvcEEJyDw626a

ap63zvPqAQDmYQlxYL8ElLUwMRvMAsmmd3vx7LCVRqH0TXd46HxRAbg4BGbYA/AS

CisGAQQBl1UBBQEBB0DLkqxagCTg2XSypVLoLtvEgCISMil5c3CVZDaD/lzMDgMB

CAeIfgQYFgoAJgIbDBYhBLLnQ67LEEtlcfjThvzjaO6D4bQdBQJm2AQgBQkBhb7u

AAoJEPzjaO6D4bQdC+wA/1uE0hXfYpPcQQZGeodl6PVvkLdojm/Svqx6XI1ESP4c

AQDd0ChBD7pjBrkzTqRkXSDOWeaXgqbMsEJ2GVxu7nOYDg==

=//+l

-----END PGP PUBLIC KEY BLOCK-----